Los desafíos del derecho internacional público en la era digital

113  Descargar (0)

Texto completo

(1)CENTRO DE INVESTIGACIÓN Y DOCENCIA ECONÓMICAS, A.C.. LOS DESAFÍOS DEL DERECHO INTERNACIONAL PÚBLICO EN LA ERA DIGITAL. TESINA QUE PARA OBTENER EL TÍTULO DE LICENCIADA EN DERECHO. PRESENTA ALESSANDRA BARZIZZA VIGNAU. DIRECTOR DE LA TESINA: DR. JOSÉ ANTONIO CABALLERO JUÁREZ. CIUDAD DE MÉXICO. NOVIEMBRE, 2018.

(2) A mi mamá Eugenia, a mi papá Massimo y a mi hermano Luca por ser el principio, razón y fin de mi existencia..

(3) AGRADECIMIENTOS Quiero agradecer a todas las personas que han influenciado mi formación como ser humano, como estudiante y como profesionista. Sin duda su presencia y apoyo ha sido parte esencial en el proceso de cumplimiento de mis metas. A mi mamá, por la formación diversa y humana que me has dado a lo largo de mi vida y enseñarme lo que implica ser, precisamente, humano. A mi papá, porque a través de tu confianza aprendí a confiar en mí misma. Has sido, eres y serás siempre mi otra mitad. A Luca, por tu amor incondicional, tu paciencia, interés, entusiasmo y apoyo en todos mis proyectos. No sé qué haría sin ti. A mi Nonno y a mi Nonna Barzizza, por su apapacho y eterna ternura, por hacerme sentir siempre única. A mi abuelo Armando Vignau, porque eres ejemplo y parámetro de ética y honestidad profesional. A Gaby, por tu cariño, entusiasmo, apoyo y paciencia. Funges un rol muy importante. A Lina, por las grandes oportunidades y el mundo profesional que me has abierto, por escuchar mis inquietudes. A Moni, por tu paciencia y dedicación en mi formación profesional. A Sebas, por las excelentes recomendaciones y libros, que sin duda contribuyeron en el planteamiento y culminación de este trabajo. A Juan y Alan, por todo el cariño, aprendizaje, risas y buenos momentos. Con ustedes aprendí el valor y significado de hacer equipo. A mis profesores José Antonio Caballero y Javier Cruz Angulo, por su constante apoyo y confianza y por dar las clases más interesantes y divertidas. Prometo seguir siempre cuestionándome dónde está la pared más dura del CIDE. A mis profesoras María Solange Maqueo, Jimena Moreno y Mercedes Albornoz, por todo el apoyo que me han brindado durante y después de la carrera, por aconsejarme e impulsar y aplaudir mi pasión por la tecnología. Cada vez que visito el CIDE me siento como en casa..

(4) A mis primas, primos, tíos y tías Vignau, porque junto a ustedes aprendí sobre el amor tan grande e incondicional que se puede encontrar en medio de la ironía y el sarcasmo. Son y seguirán siendo siempre un motor de avance en tiempos adversos. A Quirarte, por toda la protección, cariño y compañía que me brindaste cuando más lo necesité. Te quiero eterna e incondicionalmente. A mis amigos Millo, Gabriel, Diego, Billy, Iñigo y Lalo, por ser siempre la compañía más divertida. Por todas las carcajadas y su interminable cariño y lealtad. A mis amigas, Pau, So, Vicky, Silvia, Alexa, Luisa, Ale Moreira, Anny, Jessy, Natalia y Anya, por todas las experiencias compartidas antes, durante y después de mi carrera. Por comprender mis ausencias. A mi equipo Jessup, Raúl, Irene y Priscila, junto a ustedes viví las mejores experiencias de mi carrera. A mi coach Ana, cuya toma de decisiones eventualmente conllevó al inicio de mi pasión por la tecnología. Por todo el apoyo y consejos que has seguido dándome durante todos estos años, a pesar de ya no ser mi coach. Te quiero mucho. ¡Gracias! A mi equipo del Concurso Nacional de Derecho Constitucional, Claudia, Alejandro y Ricardo, porque la experiencia que vivimos “sí es de compas”..

(5) ÍNDICE INTRODUCCIÓN ..........................................................................1 El Derecho Internacional Público y la disputa por la Gobernanza del Internet ................................................................8 Google, Yahoo! y otros v. El Derecho Internacional Público. Un resultado esquizofrénico...............................................................14 Atribución de los ciberataques a los Estados con base en los Artículos de Responsabilidad Estatal. El primer elemento. .....31 Exposición de los hechos de los casos que serán materia de estudio en el presente apartado. ..............................................32 Caso Stuxnet ...........................................................................32 Caso Sony Pictures .................................................................36 Aplicación de los Artículos de Responsabilidad del Estado por Hechos Internacionalmente Ilícitos a las operaciones cibernéticas. ...............................................................................40 Caso Stuxnet ...........................................................................40 Caso Sony Pictures .................................................................41 Las normas primarias del Derecho Internacional Público aplicadas a la actividad cibernética. El segundo elemento. ......54 Caso Stuxnet ..............................................................................55 Principio de no uso de la fuerza..............................................55 Caso Sony Pictures ...................................................................61 Principio de no intervención ....................................................61 El elemento coercitivo ............................................................65 La competencia exclusiva del Estado víctima ........................66 Obligación de debida diligencia .............................................69 Elementos que deben acreditarse ............................................73 Aplicabilidad de la obligación de debida diligencia al ámbito digital .........................................................................................76 CONCLUSIÓN .............................................................................85 BIBLIOGRAFÍA ..........................................................................91.

(6) LISTA DE ABREVIATURAS. AEPD:. Agencia Española de Protección de Datos. CIJ:. Corte Internacional de Justicia. CNIL:. Comisión Nacional de Informática y Libertades. CJUE:. Corte de Justicia de la Unión Europea. CLOUD:. Clarifying Lawful Overseas Use of Data. GDPR:. General Data Protection Regulation. LICRA:. Ligue contre le racisme et l'antisémitisme et Union des étudiants juifs de France. TIC:. Tecnologías de la Información y la Comunicación. TPIY:. Tribunal Penal Internacional para la Ex Yugoslavia. TJUE:. Tribunal de Justicia de la Unión Europea. UEJF:. L’union des Etudiants Juifs De France.

(7) INTRODUCCIÓN En junio de 2010 un evento sin precedentes cambió para siempre la forma en la que percibimos el mundo: Estados Unidos e Israel destruyeron las centrifugas de enriquecimiento de uranio de una planta nuclear en Irán.. Después de leer estas primeras líneas, seguramente la primera duda que le surge al lector es: ¿por qué llamar a este suceso “un evento sin precedentes”? El hecho es lamentable, pero parece no ser novedad. Esto es verdad. Sin embargo, lo que resulta aterrador y al mismo tiempo intrigante es el medio a través del cual la planta nuclear fue destruida: un ciberataque actualmente denominado Stuxnet.. Stuxnet no solamente implicó un uso ilegal de la fuerza por parte de Estados Unidos e Israel en contra de Irán que pudo haber desatado un grave conflicto internacional entre, cuando menos, esas tres naciones, sino un cambio permanente en la forma en la que percibimos el mundo y los peligros que nos rodean. La trama de algunas series de televisión que anteriormente podría haber sido clasificada como ciencia ficción parece haberse convertido en realidad. Por ejemplo, en la serie de televisión “The Good Wife” cierto hacker encriptó los archivos de una firma de abogados y solicitó un pago de Bitcoins a cambio de liberar la información encriptada. En mayo de 2017 los archivos de más de 250,000 1.

(8) ordenadores alrededor del mundo, incluyendo los de grandes empresas de telefonía, bancos y hospitales fueron encriptados por medio de un ciberataque. Los hackers solicitaron un pago en Bitcoins a cambio de liberar esa información. En otro capítulo, los correos electrónicos privados de cierta candidata para ocupar un puesto público fueron robados por medio de un ciberataque y posteriormente publicados. En virtud de que dichos correos electrónicos contenían información sobre la vida privada de la candidata que contradecía los valores que promovía en su campaña, la publicación provocó que perdiera las elecciones. En 2016, durante el proceso de campaña de las elecciones de Estados Unidos, algunos correos electrónicos pertenecientes al Comité Democrático Nacional y a los miembros de campaña de la ex candidata a la presidencia Hilary Clinton fueron robados por medio de un ciberataque y posteriormente publicados. Los correos electrónicos, entre otras cosas, contenían información que puso en tela de juicio el correcto manejo de información clasificada por parte de la candidata mientras ocupó otros cargos públicos. Es probable que lo anterior haya provocado que Clinton perdiera las elecciones.. Sucesos como los anteriormente descritos han provocado que la ciberseguridad se convierta en una de las principales preocupaciones. 2.

(9) de la comunidad internacional1. El constante aumento en el uso de las TIC y la dependencia que, en consecuencia, han desarrollado los Estados y sus ciudadanos respecto de éstas los ha vuelto más susceptibles a ser víctimas de un ciberataque. Sin embargo, aún no hay consenso respecto de la aplicabilidad del sistema jurídico internacional al ámbito del ciberespacio. Muchos autores se han mostrado escépticos y argumentan que, en virtud de que en el ciberespacio no existe una división territorial que permita distinguir entre la jurisdicción de un Estado y otro, la factibilidad de aplicar los principios de este sistema resulta dudosa2. Sin embargo, hay quienes defienden una postura contraria y argumentan que las normas 1. Por ejemplo, desde 2010 Gran Bretaña estableció en su Estrategia de Seguridad Nacional que los ciberataques realizados por Estados y actores no estatales forman parte de los cuatro riesgos prioritarios para la seguridad nacional de ese Estado. “A Strong Britain in an Agre of Uncertainty; The National Security Strategy (October 2010), 29 https://assets.publishing.service.gov.uk/government/uploads/system/uploads/att achment_data/file/61936/national-security-strategy.pdf (consultada el 7 de julio de 2018). 2 Eric Talbot Jensen, “Cyber Sovereignty: The Way Ahead” Texas International Law Journal 50:2 (2015), 275 -304 [en adelante “Eric Talbot Jensen, “Cyber Sovereignty: The Way Ahead”]; Wolf Heintschel von Heinegg, “Territorial Sovereignty and Neutrality in Cyber Space”, International Law Studies, 89 (2013) [en adelante Wolf Heintschel von Heinegg, “Territorial Sovereignty and Neutrality in Cyber Space”]; David R. Johnson & David Post, “Law and Borders — The Rise of Law in Cyberspace”, Stanford Law Review 48:1367 (1996) [en adelante “David R. Johnson & David Post, Law and Borders — The Rise of Law in Cyberspace”]; Joel R. Reidenberg, “Lex Informatica: The Formulation of Information Policy Rules Through Technology”, Texas Law Review 76:3 (1998) [en adelante “Joel R. Reidenberg, Lex Informatica: The Formulation of Information Policy Rules Through Technology”]; Sean Kanuck, “Sovereign Discourse on Cyber Conflict Under International Law” Texas Law Review 88:7 (2010), 1573 [en adelante “Sean Kanuck, Sovereign Discourse on Cyber Conflict”].. 3.

(10) vigentes del derecho internacional público sí son aplicables al ciberespacio3. Hasta ahora ningún tribunal internacional se ha pronunciado al respecto, sin embargo en los últimos años diversos académicos alrededor del mundo se han dado a la tarea de publicar propuestas en este sentido. Particularmente, estas publicaciones se relacionan con la aplicación de las normas que regulan el uso de la fuerza en el ciberespacio4. De igual manera, un grupo de académicos expertos independientes en Derecho Internacional Público crearon, en 2013 y 2017, el Manual de Tallinn 1.0 y 2.0, respectivamente. Estos manuales, basados en las fuentes del Derecho Internacional Público, constituyen una propuesta no vinculante de normas adaptadas a la actividad cibernética en tiempos de guerra y de paz.. Las obras anteriormente mencionadas junto con otros trabajos académicos,. jurisprudencia. de. tribunales. internacionales. y. nacionales, y los Artículos de Responsabilidad del Estado por Hechos Internacionalmente Ilícitos, que de ahora en adelante llamaré. 3. Marco Roscini, Cyber Operations and the Use of Force in International Law (Estados Unidos, OUP, 2014) [en lo sucesivo “Roscini, Cyber Operations and the Use of Force in International Law”]; Scott J. Shackelford, Managing Cyber Attacks in International Law, Business, and Relations (Nueva York, CUP, 2014) [en adelante “J. Shackelford, Managing Cyber Attacks in International Law”]; 4 Roscini, Cyber Operations and the Use of Force in International Law; Michael N. Schmitt. Tallinn Manual on the International Law Applicable to Cyber Warfare (Gran Bretaña, CUP, 2013) [en adelante “Tallinn Manual 1.0]; Michael N. Schmitt, Tallinn Manual 2.0 on the International Law Applicable to Cyber Operations to be Launched (Gran Bretaña, CUP, 2017) [en adelante “Tallinn Manual 2.0)].. 4.

(11) los Artículos de Responsabilidad Estatal, conforman el marco de análisis de este trabajo, en el que defenderé que la aplicabilidad y eficacia de las normas y principios del Derecho Internacional Público no debe partir de un análisis abstracto y generalizado de la naturaleza del ciberespacio. Más bien, debe analizarse tomando en cuenta los elementos y particularidades de cada uno de los debates actuales en materia digital. De esta manera, encontraremos que su aplicabilidad y eficacia tratándose del debate que versa sobre la remoción o desindexación de contenido que han tenido que realizar algunas empresas resulta dudosa. Sin embargo, sí son eficaces y pueden aplicarse con la finalidad de atribuir responsabilidad a los Estados por ciberataques realizados por sus propios órganos o por una persona o grupo de personas y tienen efectos adversos en el territorio de otro Estado.. Para probar la hipótesis de este trabajo, en el primer apartado expondré a grandes rasgos la manera en la que se conforma y funciona el sistema de Derecho Internacional Público y las razones por las que considero que es relevante estudiar su aplicación y eficacia en materia digital. Lo anterior con la finalidad de ejemplificar y señalar, en forma explícita, los motivos por los cuales estimo que un análisis sobre la aplicabilidad de las normas del Derecho Internacional Público al ciberespacio no debe partir de una visión generalizada de la naturaleza del ciberespacio.. 5.

(12) En el segundo apartado expondré de manera general en qué consiste el debate en materia de remoción o desindexación de contenido y la manera en la que éste se relaciona con el Derecho Internacional Público. Encontraremos que los principios de este sistema normativo son aplicables. Sin embargo, existen dudas respecto de la eficacia de las normas del Derecho Internacional Público.. Posteriormente, en el tercer apartado expondré los hechos de algunos de los ciberataques que han sucedido en los últimos años y relacionaré algunos de sus componentes con los Artículos de Responsabilidad Estatal. En este capítulo abordaré cuestiones sobre los elementos y condiciones de aplicación de dichos artículos, así como la problemática que se ha generado en torno a los mismos.. Finalmente, en el cuarto apartado analizaré los elementos y condiciones de aplicación de algunas normas primarias del sistema jurídico internacional con la finalidad de evaluar su aplicabilidad a los hechos de los casos que se describen en el segundo apartado. Asimismo, explicaré las razones por las que considero que los ciberataques que se describen en los casos son un hecho internacionalmente ilícito.. 6.

(13) Aunque reconozco que algunos de los ciberataques y fuentes jurisprudenciales que voy a analizar en este trabajo pueden relacionarse o tener implicaciones en el ámbito del derecho internacional de los derechos humanos y del derecho internacional privado, me enfocaré únicamente en cuestiones correspondientes al Derecho Internacional Público general. Es decir, me limitaré a hablar solamente de los principios del Derecho Internacional Público establecidos en la Carta de las Naciones Unidas y los Artículos de Responsabilidad Estatal, tocando únicamente de manera tangencial y a manera de ejemplo otras normas.. 7.

(14) El Derecho Internacional Público y la disputa por la Gobernanza del Internet El Derecho Internacional Público es el cuerpo de normas y principios que regulan las relaciones entre los Estados. 5 Sin embargo, a diferencia de lo que sucede en los ordenamientos jurídicos nacionales, el sistema jurídico internacional no cuenta con un mecanismo de implementación coercitiva por medio del cual puede obligarse a los Estados a actuar de una determinada manera. Tampoco existe un cuerpo legislativo facultado para emitir normas obligatorias para los Estados.6 Por lo tanto, las obligaciones estatales provienen de las fuentes del Derecho Internacional Público, que por referencia se encuentran establecidas en el artículo 38 del Estatuto de la Corte Internacional de Justicia, a saber: a) tratados internacionales; b) costumbre internacional; c) principios generales del derecho; y, d) fuentes subsidiarias, como doctrina o jurisprudencia de tribunales locales o internacionales.7 Lo anterior implica que aquello que resulta obligatorio para los Estados es aquello que éstos mismos aceptan, tácita o explícitamente, como obligatorio. Dicho en otros términos, en virtud del ejercicio de su Roland R. Foulke, “Definition and Nature of International Law”, Columbia Law Review, 19:6 (1919): 429-466 6 Malcolm N. Shaw, “International Law” Sixth Edition (Cambridge, CUP, 2008), [en adelante “Malcolm N. Shaw, International Law”], 2-5. 7 Ian Brownlie, Principles of Public International Law, Seventh Edition, (Oxford, OUP, 2008), 5 [en adelante “Brownlie, Principles of Public International Law”]; Estatuto de la Corte Internacional de Justicia (North Sea Continental Shelf Cases 1969), art. 38. 5. 8.

(15) soberanía, los Estados pueden, por ejemplo, obligarse mediante la firma y ratificación de un tratado internacional a cumplir con ciertas obligaciones. En otras ocasiones, cierta práctica estatal reiterada considerada obligatoria por los mismos Estados (inveterata consuetudo et opinio iuris seu necessitatis) puede llegar a constituirse como una norma dentro del sistema jurídico internacional8. O bien, puede suceder que la aplicación uniforme y reiterada de alguna norma contenida en un tratado se cristalice y se convierta en una norma obligatoria para todos los Estados que forman parte de la comunidad internacional.9 Sin embargo, bajo ninguna circunstancia pueden verse obligados, en forma coercitiva, por un órgano internacional a actuar de una determinada forma. Lo anterior implica que la implementación y cumplimiento de las obligaciones internacionales depende más bien de los mecanismos internos que cada Estado estructure en su sistema jurídico.. Ahora bien, a pesar de que el sistema jurídico internacional no cuenta con un cuerpo legislativo ni un mecanismo de implementación coercitiva, sí está conformado por un cuerpo de normas de naturaleza adjetiva cuya función es determinar los criterios bajo los cuales se considera que un determinado hecho, cuya naturaleza es considerada 8. Ian Brownlie, Principles of Public International Law, 7-9; North Sea Continental Shelf Cases (Germany v Denmark/Germany v Netherlands) [1969] (Judgment) ICJ Rep 3 § 77 [en adelante “North Sea Continental Shelf Cases"] 9 Ian Brownlie, Principles of Public International Law, 13; North Sea Continental Shelf Cases, § 61, 62.. 9.

(16) contraria a las normas de derecho internacional, es atribuible a uno o varios Estados. Este cuerpo de normas se encuentra codificado en un documento denominado Artículos de Responsabilidad del Estado por Hechos Internacionalmente Ilícitos y son obligatorias para los Estados en virtud de haber sido conformadas y redactadas con base en costumbre internacional. De esta manera, por un lado, los criterios con base en los cuales se atribuye responsabilidad estatal por la comisión de hechos internacionalmente ilícitos pertenecen al sistema jurídico internacional, y por otro lado el cumplimiento de las obligaciones provenientes del sistema jurídico internacional y la implementación de las decisiones emitidas por órganos jurídicos internacionales son facultad soberana de cada Estado.. La principal característica de las normas que actualmente conforman el sistema jurídico internacional es que se encuentran estrechamente vinculadas a la existencia de un espacio físico determinado dentro del cual un Estado ejerce su soberanía, entendida ésta como “la facultad exclusiva que tienen los Estados de ejercer sus funciones dentro de su territorio”10. Esto se debe a que el ámbito de aplicación de dichas normas es, en la mayoría de los casos, el territorio de los Estados. Por ejemplo, la obligación de debida diligencia aplica únicamente respecto de las actividades que se llevan a cabo dentro. 10. The Island of Palmas Arbitration (Netherlands v United States) (1928) 2 RIAA 829, 838 (traducción propia) [en adelante “Island of Palmas Arbitration”].. 10.

(17) del territorio de éstos mismos.11 Esto también sucede con el principio de no intervención, ya que abarca todas aquellas actividades o acontecimientos de carácter doméstico que suceden dentro del territorio de un Estado y que, en virtud de su soberanía, le competen exclusivamente a éste12.. La característica de las normas anteriormente mencionada cobra especial relevancia tratándose de la factibilidad de aplicarlas al ciberespacio. Esto se debe a que algunos autores afirman que, en virtud de que el ciberespacio es intangible y ubicuo (por lo que no existe una distribución territorial clara sobre la cual un Estado pueda ejercer su soberanía), la aplicación de dichas normas a este ámbito resulta imposible13. A mi parecer esta es una afirmación basada en una premisa abstracta y generalizada que no considera los componentes de los diversos debates actuales en materia digital y la manera en la que éstos se relacionan con el derecho internacional púbico. Debido a la información que controlan y las funciones que. 11. Corfu Channel Case (UK v Albania) [1949] (Judgment) ICJ Rep 4, 22 [en adelante “Corfu Channel Case”]. 12 Case Concerning Military and Paramilitary Activities in and against Nicaragua (Nicaragua v United States of America) [1984] (Judgment) ICJ Rep 14, § 205 [en adelante “Nicaragua Case”]. 13 David R. Johnson & David Post, Law and Borders — The Rise of Law in Cyberspace; Joel R. Reidenberg, Lex Informatica: The Formulation of Information Policy Rules Through Technology; Sean Kanuck, Sovereign Discourse on Cyber Conflict, 1557; Eric Talbot Jensen, Cyber Sovereignty: The Way Ahead; Wolf Heintschel von Heinegg, Territorial Sovereignty and Neutrality in Cyber Space. 11.

(18) cumplen dentro de la sociedad, las empresas de tecnología se encuentran íntimamente relacionadas con el ejercicio de los derechos fundamentales de los individuos y la seguridad y economía de los Estados. En virtud de lo anterior, los debates sobre neutralidad de la red, la responsabilidad de los intermediarios en internet (que a su vez se traduce en un problema de remoción o desindexación de contenido), la ciberseguridad y la economía y educación digitales se han convertido en los principales componentes de la disputa entre el sector privado y los Estados por la gobernanza del Internet14.. Las particularidades y alcances de cada una de estas disputas constituyen un tema amplio y multidisciplinario que excede los límites de este trabajo. Sin embargo, considero que una afirmación general y tajante respecto de la inaplicabilidad del derecho internacional al ciberespacio en el fondo implica aceptar que los Estados han perdido esta disputa y, por ende, la gobernanza de internet se encuentra en manos del sector privado. Lo anterior podría tener grandes implicaciones, ¿cómo podrían los Estados garantizar la seguridad y ejercicio de los derechos de sus ciudadanos si no tienen control sobre los elementos u objetos que se relacionan con esos derechos? ¿Cuál sería el incentivo del sector privado para continuar cumpliendo con la regulación existente en materia de 14. Laura Denardis, The Global War for Internet Governance (Estados Unidos, YUP, 2014), 1-2 [en adelante “Laura Denardis, The Global War for Internet Governance”].. 12.

(19) competencia económica, propiedad intelectual o protección de datos personales? ¿Cómo se conducirían las relaciones de los Estados en caso de suscitarse un conflicto internacional que resulte de una operación cibernética maliciosa? Considerando que estamos viviendo un momento histórico en el que las TIC se encuentran íntimamente relacionadas con los intereses primordiales del Estado, al grado de ser interdependientes, y al mismo tiempo se afirma que ha habido una pérdida de control por parte del Estado respecto de estas áreas de interés público15, no es menor hablar sobre la aplicabilidad de las normas del derecho internacional en el ámbito digital. En palabras de Jeremy Wright, el Fiscal General de Gran Bretaña “si nos quedamos callados [los Estados], si aceptamos que los retos que impone la tecnología cibernética son mayores que aquellos que el marco jurídico internacional puede soportar […] entonces no podemos esperar otra cosa más que el ciberespacio se convierta en un lugar todavía más peligroso. […] el ciberespacio no es y no debe ser nunca un lugar sin Ley […] la cuestión no es si el derecho internacional aplica o no en el ciberespacio, sino la manera en la que debe ser aplicado y si nuestro entendimiento actual sobre éste es suficiente. […]”.. 15. Laura Denardis, “The Global War For Internet Governance”, 1-6. 13.

(20) Google, Yahoo! y otros v. El Derecho Internacional Público. Un resultado esquizofrénico. Si nos referimos al debate sobre la remoción o desindexación de contenido que, por ordenes de diversos tribunales nacionales, han tenido que realizar algunas empresas con la finalidad de cumplir con diversos. ordenamientos. jurídicos. nacionales. o. regionales,. encontraremos que existe un problema de eficacia del derecho internacional. Esto podría deberse a que la naturaleza ubicua del internet y algunas de sus características técnicas (como la factibilidad de evadir mecanismos de geolocalización) ha traído como consecuencia que, en un intento de implementar los ordenamientos jurídicos anteriormente mencionados, algunas de esas decisiones judiciales resulten ser violatorias de los principios que rigen al propio sistema jurídico internacional, causando un resultado esquizofrénico: con la finalidad de asegurar la eficacia de sus sistemas jurídicos nacionales, los Estados provocan una pérdida de eficacia del sistema jurídico internacional.. Existen tres casos con base en los cuales puede entenderse el contenido y alcance de este debate y la problemática que representa en el ámbito del Derecho Internacional Público. Uno de estos casos es Licra y UEJF v. Yahoo! Inc. y Yahoo! Francia (2000), que en adelante llamaré el Caso Yahoo Inc.. En este caso, una ONG en Francia denominada Ligue contre le racisme et l'antisémitisme et. 14.

(21) Union des étudiants juifs de France (LICRA), junto con un grupo de estudiantes judíos que residen en Francia L’union des Etudiants Juifs De France (UEJF), demandaron a Yahoo! Francia y Yahoo! Inc. frente a un tribunal francés argumentando que la venta de productos Nazis en la página de Yahoo! Estados Unidos implicaba una violación al Código Penal de Francia, ya que a pesar de que los productos no estaban siendo promocionados directamente en la página de Yahoo! Francia, era posible accesar a la página de Estados Unidos desde territorio francés.16. Tomando en consideración que, basándose en la dirección IP del usuario, Yahoo! Inc. tenía la posibilidad de rastrear el origen geográfico de los usuarios que acceden a la página de Yahoo! Estados Unidos, el juez francés ordenó la implementación de una herramienta de geolocalización para bloquear el acceso de los nacionales franceses al contenido de la página de Yahoo! Estados Unidos. El juez también consideró la posibilidad de que algunos usuarios intentasen entrar a la página a través de portales que les permiten anonimizar su navegación y, por lo tanto, no revelar la localización geográfica desde donde buscan accesar. Sin embargo, declaró que esta no era una razón suficiente para no implementar la medida, ya que Yahoo! Inc. podría limitar el acceso a la página 16. Yahoo! Inc. v. La Ligue Contre Le Racisme et l'antisemitisme (LICRA), 433 F.3d 1199 (9th Cir. 2006) [en adelante “Caso Yahoo! Inc”] El caso completo se puede consultar en https://caselaw.findlaw.com/us-9th-circuit/1144098.html.. 15.

(22) únicamente a aquellos usuarios que revelen su localización geográfica.17. En respuesta a esta orden, Yahoo! Inc. argumentó la imposibilidad técnica de determinar, de manera precisa, la nacionalidad de los usuarios que acceden a su página en Estados Unidos, por lo que, para poder cumplirla, la empresa se vería obligada a remover el contenido de la página de Yahoo! Estados Unidos (lo que implicaría que un tribunal nacional, el tribunal francés que conoció de este caso, en realidad estaría determinando el contenido al que pueden tener acceso el resto de los usuarios de los servicios de Yahoo! Inc. alrededor de todo el mundo). Tomando en cuenta este argumento, el juez ordenó la conformación de un panel de tres expertos, quienes deberían emitir pronto una opinión técnica sobre la factibilidad, desde una perspectiva tecnológica, de que Yahoo! Inc. cumpliese con dicha orden.18. El panel de expertos concluyó que el 70% de los usuarios franceses pueden ser identificados mediante el rastreo de sus direcciones IP, y el acceso de estos usuarios a la página de Yahoo! Estados Unidos se puede impedir mediante la implementación de un software de filtrado de geolocalización, el cual puede cargarse en los servidores. 17 18. Caso Yahoo! Inc. Caso Yahoo! Inc.. 16.

(23) de Yahoo! Inc. en California, Estados Unidos. Finalmente, los expertos también determinaron que una solicitud de revelación de la nacionalidad del usuario como requisito para acceder a la página aumentaría en un 20% la precisión de la información con base en la cual se puede filtrar el acceso de los usuarios a la página de Yahoo! Estados Unidos. Es decir, la implementación del software junto con el requisito de revelación de nacionalidad permite una precisión del 90% al momento de filtrar el acceso al contenido de la página. Conforme con la respuesta de los expertos, el juez ordenó la implementación de ambas medidas dentro de los 90 días siguientes a la emisión de la sentencia. De lo contrario, la empresa debería pagar una multa de $13,000 dólares por cada día que no acatase la orden establecida en la sentencia.19 Este caso generó una gran polémica a nivel internacional y surgieron grandes debates alrededor de las implicaciones que podría tener en materia de competencia económica, libertad de expresión y derecho. 19. Marc H. Greenberg, “A Return to Lilliput: The LICRA v. Yahoo! Case and The Regulation of Online Content In The World Market” Berkeley Technology Law Journal 18:1191 (2003) [en adelante “Marc H. Greenberg, A Return to Lilliput: The LICRA v. Yahoo! Case and The Regulation of Online Content In The World Market” ], 1213, 1214; Yahoo! Inc. no impugnó la sentencia del tribunal francés. Sin embargo, decidió llevar el caso al Noveno Tribunal de Distrito de California del Norte, en San José. Este tribunal determinó que la orden del tribunal francés es contraria a la Primera Enmienda de la Constitución de Estados Unidos, por lo que no podía hacerse efectiva. Sin embargo, LICRA y UEJF apelaron esta decisión en el Tribunal de Alzada del Noveno Circuito de Estados Unidos, quien revirtió la decisión del Tribunal de Distrito argumentando que no tenía jurisdicción sobre LICRA y UEJF y, por lo tanto, carecía de competencia para determinar sobre la aplicabilidad de la sentencia.. 17.

(24) a la privacidad. Por un lado, se consideró que el requisito de revelación de nacionalidad podría resultar violatorio de las normas de privacidad de otros Estados y que, en general, la sentencia atentaba en contra del carácter libre y abierto del internet, ya que la decisión de bloquear el acceso de los usuarios a la página de Yahoo! Estados Unidos implica establecer fronteras en el internet. Por otro lado, surge la preocupación de que el contenido de una página esté sujeta a la jurisdicción de todos los tribunales nacionales alrededor del mundo. Lo anterior se debe a que existe el riesgo de que un solo tribunal sea capaz de determinar, únicamente con base en las leyes del Estado en el que ejerce su jurisdicción, cuál es el contenido al que pueden acceder todos los usuarios alrededor del mundo, y no solamente aquellos que son ciudadanos o nacionales de dicho Estado. Sin embargo, el hecho de que un Estado no pudiese ejercer su jurisdicción sobre dicho contenido implicaría que las leyes del Estado en el que se encuentran establecida la plataforma que presta estos servicios serían las que determinan el contenido al que pueden tener acceso los usuarios de todo el mundo.20. Esta no fue la primera vez que un tribunal nacional se pronunció sobre el contenido al que pueden tener acceso los ciudadanos o nacionales de un Estado a través del internet. En 1986 un tribunal en. 20. Marc H. Greenberg, “A Return to Lilliput: The LICRA v. Yahoo! Case and The Regulation of Online Content In The World Market”, 1210-1222.. 18.

(25) Estados Unidos ordenó a Tattilo Editrice S.p.A. no aceptar las suscripciones de ciudadanos estadounidenses a su página web (que se encontraba albergada en un servidor en Italia), y contenía una versión digitalizada de la revista “Playmen”, cuya circulación dentro del territorio estadounidense había sido prohibida en 1981 por medio de un mandato judicial. La orden de no aceptar las suscripciones de los ciudadanos de Estados Unidos se debió a que el tribunal consideró que permitir a los ciudadanos estadounidenses acceso a la página web equivalía a continuar circulando la revista dentro de Estados Unidos, lo que implicaba una violación al mandato judicial.21. Al igual que en el Caso Yahoo!, el tribunal estadounidense se pronunció respecto del contenido al que pueden tener acceso los ciudadanos estadounidenses desde el territorio del Estado en el que el tribunal ejerce su jurisdicción. El razonamiento de este tribunal para pronunciarse en este sentido fue el siguiente: “El internet es un fenómeno mundial, accesible desde cualquier parte del mundo. No puede impedirse que Tattilo opere su sitio web solamente porque el mismo es 21. 511 F. Supp 486 (1981) Playboy Enterprises, Inc., v. Chuckleberry Publishing, Inc,Tattilo Editrice SPA, Publishers Distributing Corporation, Arcata Publications Group, Inc., United States District Court, S. D. New York. No. 79 Civ. 3525 (1 de abril de 1981) [en adelante “Playboy Enterprises Inc. v. Chucleberry Publishing Inc.). 19.

(26) accesible desde un Estado en el que su contenido está prohibido. […] Una decisión en este sentido tendría un efecto devastador sobre todos los demás usuarios [fuera de Estados Unidos] que utilizan este servicio[…]. Por lo tanto, si bien es cierto que esta Corte no tiene la competencia para prohibir la creación de sitios de internet alrededor del mundo, sí la tiene para prohibir el acceso a esos sitios en este país.”22. Dejando a un lado las injerencias que el Caso Yahoo! podría tener en materia de privacidad y protección de datos personales por el requisito de declaración de privacidad, considero que el fondo de ambas sentencias va de acuerdo con los principios del Derecho Internacional Público. De acuerdo con una sentencia emitida por la Corte Permanente Internacional de Justicia en 1938, no existe ninguna norma en el Derecho Internacional Público que prohiba que los Estados ejerzan su jurisdicción sobre actos que, a pesar de no haber sido cometidos dentro de su territorio, tengan efectos dentro del mismo.23 Esta forma de ejercer jurisdicción se conoce doctrinalmente como “la teoría de los efectos” 24 y se ha utilizado en. 22. Playboy Enterprises, Inc. v. Chucleberry Publishing, Inc. SS Lotus Case (France v Turkey) [1927] (Judgment) PCIJ Rep Series A No 10, 18 -23. [en adelante “SS Lotus Case”]. 24 Thomas Schultz, “Carving up the Internet: “Jurisdiction, Legal Orders, and the Private/Public International Law Interferface” European Journal of International Law, 19:4 (2008), 812. 23. 20.

(27) las últimas décadas como base para el ejercicio de jurisdicción de los Estados y sus tribunales en aspectos relacionados con la materia digital.25 Además, en ambos casos los tribunales se abstuvieron prima facie de ejercer su jurisdicción en otros territorios, ya que únicamente prohibieron el acceso a ese contenido desde el territorio al que pertenecen. Una decisión en otro sentido hubiera implicado una violación al principio de no intervención, que como veremos más adelante implica inter alia que cada Estado tiene la libertad de decidir, con total independencia de otros Estados, el contenido al que pueden acceder sus ciudadanos26.. 25. Por ejemplo, la aplicación extraterritorial del GDPR está basada en esta teoría. Considerando 23 del GDPR: “[…]el tratamiento de datos personales de interesados que residen en la Unión por un responsable o un encargado no establecido en la Unión debe regirse por el presente Reglamento si las actividades de tratamiento se refieren a la oferta de bienes o servicios a dichos interesados, independientemente de que medie pago. Para determinar si dicho responsable o encargado ofrece bienes o servicios a interesados que residan en la Unión, debe determinarse si es evidente que el responsable o el encargado proyecta ofrecer servicios a interesados en uno o varios de los Estados miembros de la Unión. […].” Asimismo, el pasado 21 de junio la Suprema Corte de Estados Unidos decidió que en materia de comercio interestatal el “nexo sustancial” que debe existir entre la actividad que se grava y el Estado para que éste último pueda gravar las compraventas que realizan las empresas de comercio electrónico se define con base en la cantidad de dinero o transacciones que realice la empresa dentro del territorio del Estado, independientemente de que se encuentre físicamente establecido en otro Estado South Dakota, Petitioner v. Wayfair, Inc., et al., Suprema Corte de Estados Unidos (Judgment), [21 de junio de 2018], la opinión completa de la Suprema Corte de Estados Unidos puede consultarse en https://www.supremecourt.gov/opinions/17pdf/17494_j4el.pdf. 26 Sean Kanuck, Sovereign Discourse on Cyber Conflict Under International Law, 1571.. 21.

(28) Sin embargo, este debate sigue vigente y ha cobrado aún más relevancia en los últimos años por el denominado “derecho al olvido”27. El primer antecedente judicial del derecho al olvido fue el caso de Google España e Inc. v. Agencia Española de Protección de Datos (AEPD) y Mario Costeja González, al que en adelante me referiré como el Caso Costeja. En este caso, Mario Costeja Gonzáles, un ciudadano español, solicitó ante la AEPD la desindexación por parte del buscador Google Inc., del vínculo a una publicación del periódico español El Vanguardista, misma que aparecía en la página de dicho buscador cuando se ingresaba el nombre del señor Costeja. En dicha publicación se establecía que en 1998 una propiedad del señor Mario Costeja González había sido subastada, debido a que incumplió con sus obligaciones de pago respecto de algunas deudas adquiridas con anterioridad a la subasta. Sin embargo, en 2014 el señor Costeja ya había cumplido con el pago de sus deudas, por lo que solicitó a la autoridad española que ordenase la desindexación de dicho artículo. La Agencia Española de Protección de Datos, con base en la Directiva 95/46/CE, que entre otras cosas establece el derecho del titular de datos personales a ejercer el derecho de. 27. En realidad se trata de los derechos de cancelación u oposición al tratamiento de datos personales. Sin embargo, por diversas cuestiones se ha denominado públicamente como “derecho al olvido”.. 22.

(29) cancelación de los mismos, ordenó a Google Inc. la remoción de dicho resultado de búsqueda.28. Google Inc. y Google España decidieron apelar la decisión de la AEPD ante la Audiencia Nacional Española, misma que, a su vez, decidió hacer una consulta prejudicial al Tribunal de Justicia de la Unión Europea (TJUE). El TJUE determinó, entre otras cosas, que Google está obligado a desindexar contenido ante la petición del titular de los datos, independientemente de que el contenido de la página que vincula sea legal o no. Específicamente, ordenó desvincular el nombre del titular de los datos con la noticia que le causa perjuicio, no eliminar el acceso a la noticia misma. Es decir, la noticia continúa siendo accesible bajo otros criterios de búsqueda, simplemente ésta no se encontrará relacionada con el nombre de la persona que ejerce su derecho de cancelación frente al buscador29. El TJUE también estableció que, en principio, el derecho a la protección de datos personales de los individuos prevalece sobre el interés económico del motor de búsqueda y sobre el interés público de encontrar la información que busca desindexarse, salvo en aquellas circunstancias en las que, “por razones concretas, como el. 28. Asunto C-131/12, Sentencia del Tribunal de Justicia Europeo (Gran Sala), Google Spain, Google Inc. v. Agencia Española de Protección de Datos, Mario Costeja González, 13 de mayo de 2014. [en adelante “Caso Costeja”]. 29 Caso Costeja.. 23.

(30) papel desempeñado por el titular de los datos personales en la vida pública, la injerencia en este derecho fundamental esté justificada por el interés preponderante del público en tener acceso a la información de que se trate”30.. Independientemente de las controversias y cuestionamientos que pueden suscitarse por el llamado “derecho al olvido” debido a los incentivos e implicaciones que genera31, en este trabajo la que nos concierne es que en el Caso Costeja anteriormente planteado el TJUE no se pronunció respecto del alcance de la desindexación del nombre. del. titular. de. los. datos. con. el. contenido. en. cuestiónterritorial o global que tiene que realizar Google al momento de cumplir con solicitudes de cancelación de datos personales.. Años después, mientras enfrentaba un procedimiento sancionatorio frente a la CNIL por haber incumplido con una medida cautelar de desindexación en todos sus portales y no solamente los de la Unión Europea, incluido el dominio de Google.com, en febrero de 2016 Google anunció la implementación en sus servidores del mismo. 30 31. Ibidem. Esta discusión se aborda con mayor amplitud y detalle en Keller, Daphne, “The Right Tools: Europe's Intermediary Liability Laws and the 2016 General Data Protection Regulation” (22 de marzo de 2017). Disponible en SSRN: https://ssrn.com/abstract=2914684 or http://dx.doi.org/10.2139/ssrn.291 4684.. 24.

(31) software de geolocalización que el juez francés ordenó en el Caso Yahoo! Inc. Es decir, la desindexación no aplicaría respecto de todos los portales de Google, sino únicamente desde el territorio del Estado en el que se interpuso la solicitud de cancelación de datos. 32 Sin embargo, a pesar de los esfuerzos de Google, en marzo de 2016 la CNIL determinó lo siguiente: “[…] si bien la implementación del mecanismo de geolocalización constituye un avance [..] esta medida puede ser eludida por el usuario interesado […], ya que existen soluciones técnicas para burlar las medidas de filtrado implementadas por la empresa que permiten al usuario elegir la procedencia geográfica de la dirección IP (usando una VPN, por ejemplo). Asimismo, la información continúa siendo accesible desde fuera de Francia […] por lo que esta medida no logra el objetivo fijado por la Directiva europea en materia de protección de datos personales. Para permitir que los ciudadanos europeos se beneficien de una protección eficaz e integral de sus derechos fundamentales, es necesario un acto de aplicación que. 32. no distinga la extensión y origen. Google to scrub web search results more widely to soothe EU objections https://uk.reuters.com/article/us-google-eu-privacyidUKKCN0VJ29U;https://www.zdnet.com/article/google-extends-block-onright-to-be-forgotten-search-results/ (consultada el 22 de junio de 2018). 25.

(32) geográfico del internet y que, por ende, sea capaz de responder a los requisitos de protección de datos previamente dictados por el TJUE.”33. Tras haber sido multado por no haber desindexado globalmente (de los dominios de todos los países del mundo, incluido Google.com) el contenido relacionado con la persona que solicitó esta acción, Google LLC. apeló la decisión de la CNIL ante la Corte Suprema Administrativa de Francia, la cual a su vez remitió el asunto al TJUE. Éste último aún no ha emitido su decisión.34. Para poder analizar la problemática que gira en torno a las sentencias anteriormente planteadas, deben considerarse algunas de las implicaciones que la sentencia emitida por la CNIL y aquella que, en caso de ser resuelta en el mismo sentido por el TJUE, podrían tener en el sistema jurídico internacional.. Por un lado, existe un principio de Derecho Internacional Público que establece que los Estados únicamente pueden ejercer su Resolución de la CNIL, “Délibération de la formation restreinte n° 2016-054 du 10 mars 2016 prononçant une sanction pécuniaire à l’encontre de la société X” https://www.legifrance.gouv.fr/affichCnil.do?oldAction=rechExpCnil&id=CNI LTEXT000032291946&fastReqId=273825503&fastPos=1 (consultada el 26 de mayo de 2018) (traducción propia) [en adelante “Resolución de la CNIL”] 34 Google “right to be forgotten” case goes to top EU court https://www.zdnet.com/article/google-right-to-be-forgotten-case-goes-to-topeu-court/ (consultada el 26 de junio de 2018). 33. 26.

(33) jurisdicción dentro del territorio de otros Estados cuando existe un tratado internacional que así lo establece, o bien se ha conformado una norma de costumbre internacional en este sentido.35 Actualmente se considera que la infraestructura cibernética localizada dentro del territorio de los Estados (lo cual incluye los servidores que se encuentren dentro del territorio de los mismos) se entiende protegida por la soberanía de ese Estado. Por lo tanto, la sentencia emitida por el CNIL tendría efectos en el territorio de todos aquellos Estados en los que Google tendrá que llevar a cabo la desindexación del nombre del titular que ejerce sus derechos respecto del contenido en disputa. Dicho en otras palabras, dado que no existe un tratado internacional que permita expresamente a Francia ejercer su jurisdicción en otros Estados, la decisión de la CNIL constituye una violación a la soberanía de todos los Estados en los que su decisión podría tener efectos.. Por otro lado, los Estados conservan una facultad soberana de interpretar e implementar las obligaciones que contraen en materia de derechos humanos de acuerdo con su propio sistema jurídico nacional y sus valores culturales. Por lo tanto, éstos gozan de un amplio margen de apreciación respecto de las medidas y métodos que desean implementar con la finalidad de garantizar los derechos establecidos en los tratados de los que forman parte. Lo anterior. 35. SS Lotus Case, 49.. 27.

(34) siempre y cuando no actúen en forma contraria al objeto y propósito de las obligaciones ahí establecidas. 36 En virtud de lo anterior, la decisión de la CNIL podría implicar una injerencia en el margen de apreciación de los Estados en materia de derechos humanos. Dicho de otra manera, la decisión del TJUE en el Caso Costeja respecto de delegar a Google la responsabilidad de realizar un ejercicio de ponderación entre el derecho a la libertad de expresión y el derecho a la protección de datos personales, así como la regla general de prevalencia del derecho a la protección de datos personales sobre el derecho a la libertad de expresión, tendría efectos en todos los Estados en los que dicha empresa responda solicitudes de desindexación de contenido. Es decir, la decisión del TJUE sumada a la decisión de la CNIL serían quienes determinan cómo es que deben garantizarse estos derechos dentro del territorio de dichos Estados.. No obstante, la CNIL estableció que, aún cuando su decisión tiene efectos extraterritoriales, la eficacia de los derechos de cancelación u oposición al tratamiento de datos personales depende de que puedan ser aplicados respecto de la totalidad de ese tratamiento y no solamente de aquel que se efectúa en el portal del Estado donde se interpone la acción. “Esto debe ser así aún cuando el criterio 36. De Cubber v. Belgium, no. 9186/80 § 35 ECHR (1984); VgT Verein Gegen Tierfabriken v. Switzerland, no. 24699/94, §78 ECHR (2001); Malcolm N. Shaw, International Law, 357.. 28.

(35) adoptado pueda entrar en conflicto con los derechos de otros Estados”37.. Los casos y criterios anteriormente planteados sin duda ponen en tela de juicio la eficacia del sistema jurídico internacional en el ámbito de la gobernanza que se plantea. Si bien no me atrevería a decir que dichas normas son inaplicables, considero que valdría la pena explorar la posibilidad de establecer un tratado que, tomando en consideración la naturaleza ubicua del internet, regule la jurisdicción de los Estados, cuando menos en materia de protección de datos personales. De esta manera, los Estados podrían acordar los términos y alcances del ejercicio de jurisdicción por parte de otros Estados dentro de su territorio y así asegurar la eficacia de su sistema jurídico en materia de protección de datos personales. Es decir, si lo que realmente se busca es una homogeneización en la forma en la que se reglamentan, garantizan e implementan las obligaciones en materia de protección de datos personales, resultaría conveniente que los Estados, en pleno ejercicio de su soberanía y en igualdad de condiciones, acuerden el modo en el que deben implementarse este tipo de obligaciones.. Ahora bien, el dilema anteriormente planteado no se presenta cuando consideramos la posibilidad de aplicar los principios del Derecho. 37. Resolución de la CNIL.. 29.

(36) Internacional Público para efectos de establecer que la realización de un ciberataque por parte de un Estado o de una persona o grupo de personas desde el territorio de un Estado puede ser considerada un hecho internacionalmente ilícito y, por lo tanto, generar la responsabilidad internacional de dicho Estado. La ciberseguridad es uno de los debates actuales más importantes en materia digital por encontrarse íntimamente relacionada con la protección de las funciones básicas de los Estados. Las vulneraciones de seguridad de la infraestructura de los Estados tanto como la de los sectores financiero o industrial pueden derivar en grandes pérdidas económicas para los Estados o, incluso, en la destrucción de objetos físicos que podría, eventualmente, dañar a los ciudadanos. 38 En virtud de lo anterior, no es de menor importancia hablar acerca de la aplicabilidad de las normas del Derecho Internacional Público a este aspecto de la gobernanza de internet. Específicamente sobre la posibilidad de establecer la responsabilidad internacional de los Estados por la comisión de ciberataques que emanan de su territorio y tienen efectos adversos en el territorio de otro Estado.. 38. Laura Denardis, The Global War for Internet Governance, 86.. 30.

(37) Atribución de los ciberataques a los Estados con base en los Artículos de Responsabilidad Estatal. El primer elemento. El artículo 1 de los Artículos de Responsabilidad del Estado por Hechos Internacionalmente Ilícitos (en lo sucesivo, los “Artículos de Responsabilidad. Estatal”). establece. que. “todo. hecho. internacionalmente ilícito del Estado genera su responsabilidad internacional”.. El artículo 2 de los Artículos de Responsabilidad Estatal establece que “un hecho puede ser considerado como internacionalmente ilícito cuando un comportamiento consistente en una acción u omisión: (i) es atribuible a un Estado según el derecho internacional; y (ii) constituye una violación a una obligación internacional del Estado”.. De los dos artículos expuestos en los párrafos anteriores se desprende que, para poder probar que los ciberataques son un hecho internacionalmente ilícito que genera responsabilidad a los Estados, es necesario que se acrediten los siguientes elementos: (i) que los ciberataques son una conducta atribuible a los Estados; y (ii) que los ciberataques constituyen una violación a las obligaciones internacionales de los Estados.. 31.

(38) El primer elemento del artículo 2 de los Artículos de Responsabilidad Estatal establece claramente que la atribución a un Estado de una determinada conducta, independientemente de que dicha conducta consista en una acción u omisión, debe realizarse de conformidad con el derecho internacional. Con la finalidad de probar que los ciberataques son una conducta atribuible a los Estados de conformidad con el derecho internacional, utilizaré algunas de las normas establecidas en el Capítulo Segundo de los Artículos de Responsabilidad Estatal y tomaré como ejemplo dos de los ciberataques que, por sus características, considero ejemplificativos y altamente ilustrativos en cuanto al alcance y consecuencias que pueden tener este tipo de conductas y la forma en la que usualmente se planean, coordinan y realizan. Exposición de los hechos de los casos que serán materia de estudio en el presente apartado. Caso Stuxnet En 2010 “VirusBlokAda”, una agencia de seguridad en Bielorrusia, descubrió “Stuxnet”, un malware que fue utilizado por Estados Unidos e Israel para atacar y destruir un alto porcentaje de las centrifugas de enriquecimiento de uranio de una planta nuclear localizada en Natanz, Irán39. Mientras analizaban Stuxnet, los 39. Stuxnet Worm Attack on Iranian Nuclear Facilities, Michael Holloway http://large.stanford.edu/courses/2015/ph241/holloway1/ (consultada el 2 de noviembre de 2017).. 32.

(39) miembros de VirusBlokAda descubrieron que su objetivo principal era atacar el Programmable Logic Controler (PLC) de la planta nuclear de Natanz. Un PLC es un tipo de computadora pequeña de uso común que se conecta a la infraestructura física que se utiliza para apagar, prender o controlar en forma genérica la velocidad de las válvulas o motores de plantas de energía, sistemas financieros, de salud, o de transporte de los Estados, o bien sistemas industriales. Además, Stuxnet estaba conformado por varios códigos conocidos como. “Zero-Day. Code”.40. Un. código. como. este. es. excepcionalmente difícil de configurar, ya que permite que el malware se expanda automáticamente por el ciberespacio sin que su creador tenga que hacer absolutamente nada.41. En virtud del nivel de sofisticación de Stuxnet, algunos miembros de la agencia de seguridad en Bielorrusia comenzaron a sospechar que no podía haber sido creado sin el apoyo logístico y financiero de, cuando menos, un Estado.42. 40. Last minute paper: An indepth look into Stuxnet https://www.virusbulletin.com/conference/vb2010/abstracts/indepth-lookstuxnet (consultada el 2 de noviembre de 2017). 41 El virus que tomó el control de mil máquinas y les ordenó autodestruirse http://www.bbc.com/mundo/noticias/2015/10/151007_iwonder_finde_tecnolog ia_virus_stuxnet (consultada el 5 de septiembre de 2017); 42 Documental “Zero Days”; Virus infecta planta nuclear iraní http://www.bbc.com/mundo/internacional/2010/09/100926_virus_stuxnet_iran _planta_nuclear_aw.shtml (visto el 15 de mayo de 2016). 33.

(40) Las sospechas de los miembros de VirusBlokAda se confirmaron en junio de 2012. David E. Singer, un reconocido periodista del New York Times, publicó un artículo revelando los hechos detrás de la destrucción de la planta nuclear de Natanz43. La información contenida en dicho artículo proviene de entrevistas realizadas a ex agentes americanos, europeos e israelíes de las agencias de seguridad de Irán y Estados Unidos que estuvieron directamente involucrados en la planificación y configuración de Stuxnet, así como de varios miembros del equipo de seguridad nacional que laboraron en la Casa Blanca durante la administración del ex Presidente de Estados Unidos Barack Obama.44 De acuerdo con los hechos narrados por dichas personas en las entrevistas, Stuxnet fue una operación secreta ordenada por George W. Bush en 2006. El nombre clasificado de dicha operación era “Juegos Olímpicos” y su objetivo primordial era retrasar el programa nuclear de Irán45. Aunque la idea de realizar un ciberataque a la planta nuclear de Irán fue de los agentes de la Agencia de Seguridad Nacional de Estados Unidos, la programación, 43. Obama ordered wave of cyber attacks against Iran http://www.nytimes.com/2012/06/01/world/middleeast/obama-ordered-waveof-cyberattacks-against-iran.html (consultada el 15 de diciembre de 2015); Revela Times que Obama incrementó los ciberataques contra el programa nuclear iraní http://www.jornada.unam.mx/2012/06/02/mundo/023n2mun (consultada el 16 de diciembre de 2015) 44 Stuxnet: la filtración de un ciberataque http://www.proceso.com.mx/346707/stuxnet-la-filtracion-de-un-ciberataque (consultada el 5 de noviembre de 2017) 45 Las armas de Estados Unidos para evitar la guerra con Irán http://www.jornada.unam.mx/2012/06/02/mundo/023n2mun (consultada el 7 de noviembre de 2017). 34.

(41) las pruebas y la operación de Stuxnet fueron el resultado de un trabajo conjunto entre la Agencia de Seguridad Nacional de Estados Unidos y algunos agentes del Mossad, la agencia de seguridad nacional de Israel.46. Aunque la planeación y creación de Stuxnet sucedió durante la administración de George W. Bush, el ciberataque estaba planeado para después de 2010. Sin embargo, en esta fecha, durante el mandato del Presidente Barack Obama, un ingeniero que trabajaba en la planta nuclear de Irán, cuya computadora se encontraba infectada con dicho malware, conectó su computadora al internet fuera de Natanz. Stuxnet no pudo reconocer que su ambiente había cambiado y comenzó a auto-replicarse por todo el mundo, lo que puso la secrecía de la operación en grave peligro. En consecuencia, el entonces Presidente de Estados Unidos, Barack Obama, dio la orden de acelerar el momento de la destrucción de las centrífugas de enriquecimiento de uranio de la planta nuclear de Natanz.47 46. Obama ordered wave of cyber attacks against Iran http://www.nytimes.com/2012/06/01/world/middleeast/obama-ordered-waveof-cyberattacks-against-iran.html (consultada el 9 de noviembre de 2017); Obama ordenó personalmente un ataque cibernético contra Irán http://www.elmundo.es/elmundo/2012/06/01/internacional/1338585021.html (consultada el 9 de noviembre de 2017); Israeli Test on Warm Called Crucial in Iran Nuclear Delay http://www.nytimes.com/2011/01/16/world/middleeast/16stuxnet.html?_r=1 (consultada el 9 de noviembre de 2017). 47 Obama ordered wave of cyber attacks against Iran http://www.nytimes.com/2012/06/01/world/middleeast/obama-ordered-waveof-cyberattacks-against-iran.html (consultada el 8 de noviembre de 2017).. 35.

(42) Antes de Stuxnet ya era usual que se causara daño a otras computadoras o sistemas de información por medio de ciberataques. Sin embargo, lo que resulta excepcional de Stuxnet es que fue el primer malware capaz de destruir infraestructura física. En virtud de lo anterior, los sucesos de 2010 en la planta nuclear de Natanz, Irán también son conocidos por ser el primer ataque a una infraestructura física realizado con lo que se considera un arma cibernética de muy peligrosa potencia.48 Caso Sony Pictures El 11 de junio de 2014 Corea del Norte envió una carta al Secretario General de las Naciones Unidas, Ban Ki-moon, denunciando la película “The Interviene”, una sátira acerca del asesinato del líder de la nación asiática Kim-Gong, que dentro de unos meses sería lanzada al público por Sony Picures. En el comunicado, Corea del Norte prometió tomar serias medidas en caso de que el gobierno de Estados Unidos apoyara, tácita o explícitamente, el lanzamiento de la película. El Secretario General de las Naciones Unidas no apoyó la posición de Corea del Norte.49. Iran “first victim of cyberwar” http://www.scotsman.com/news/iran-firstvictim-of-cyberwar-1-811906 (consultada el 10 de noviembre de 2017). 49 http://jnslp.com/wp content/uploads/2016/07/The_2014_Sony_Hack_and_International_Law.pdf 48. 36.

(43) El 21 de noviembre de 2014, dos altos funcionarios de Sony Picures recibieron amenazas por parte de un grupo denominado “God’sApstls” diciendo que causarían daño a la compañía. Tres días después, las pantallas de las computadoras de los empleados de Sony Pictures en Culver City, California se tornaron negras y apareció una calavera en ellas con un mensaje que decía “este es solo el comienzo, hemos robado toda la información de la compañía”. Los hackers se autodenominaron los “Guardianes de la Paz”.50. En días posteriores, los Guardianes de la Paz comenzaron a difundir, en diversos medios de comunicación, datos personales de los ejecutivos de Sony Pictures (números de seguridad social, expedientes médicos, salarios, correos electrónicos personales) además de varias películas pertenecientes a dicha compañía que aún no habían sido estrenadas.51 Los empleados de Sony Pictures sufrieron severos daños por la publicación de sus datos personales, incluyendo robo de identidad y fraudes bancarios. La información de las computadoras de Sony Pictures fue destruida y los hackers instalaron un malware dentro de las mismas para cubrir sus huellas,. 50. http://jnslp.com/wpcontent/uploads/2016/07/The_2014_Sony_Hack_and_International_Law.pdf 51 Sony Report Employee http://oag.ca.gov/system/files/12%2008%2014%20letter_0.pdf (consultado el 12 de diciembre de 2015).. 37.

(44) lo que provocó que la red de Sony Pictures se tornara inoperable durante días.52. En diciembre de 2014, mientras continuaban filtrando información confidencial, los Guardianes de la Paz exigieron a Sony suspender el estreno de la película “The Interviewer”, y amenazaron con realizar ataques terroristas en las salas cinematográficas en las que se exhibiera la película. En respuesta a las amenazas, la empresa decidió no exhibir la película en salas públicas.53 Corea del Norte negó responsabilidad por el ciberataque, sin embargo calificó los actos y amenazas de los Guardianes de la Paz como “actos de justicia”.54. Unos días más tarde, el FBI, en un comunicado de prensa, anunció que tenía evidencia suficiente para concluir que el gobierno de Corea del Norte era responsable por el ciberataque. El FBI explicó que la evidencia que había encontrado era que (i) el Malware que fue utilizado para cometer el ciberataque es casi idéntico a uno que había sido utilizado previamente por el gobierno de Corea del Norte; (ii). 52. http://jnslp.com/wpcontent/uploads/2016/07/The_2014_Sony_Hack_and_International_Law.pdf 53 BBC Mundo El FBI acusa al gobierno de Corea del Norte del Hackeo a Sony Pictures http://www.bbc.com/mundo/ultimas_noticias/2014/12/141219_ultnot_corea_n orte (consultado el 16 de diciembre de 2015) 54 http://jnslp.com/wpcontent/uploads/2016/07/The_2014_Sony_Hack_and_International_Law.pdf. 38.

(45) la infraestructura utilizada para el ciberataque coincide con la infraestructura del gobierno norcoreano.55 A pesar de que Corea del Norte negó ante las Naciones Unidas su vinculación con los ciberataques, el 2 de enero de 2015 el ex Presidente de Estados Unidos, Barack Obama, emitió una orden ejecutiva imponiendo sanciones económicas en contra de dicho Estado.56. 55. Update on Sony Investigation https://www.fbi.gov/news/pressrel/pressreleases/update-on-sony-investigation (consultada el 15 de diciembre de 2015) 56 The Guardian, Sony Cyber Attack linked to North Korean Government, FBI says http://www.theguardian.com/us-news/2014/dec/19/north-korea-responsiblesony-hack-us-official (consultada el 10 de diciembre de 2015); Abc News, Sony Hack Believed to be Routed Through Infected Computers Overseas http://abcnews.go.com/Politics/sony-hack-believed-routed-infected-computersoverseas/story?id=27667840 (consultada el 16 de diciembre de 2015);CNBC, FBI Details North Korean Attack on Sony http://www.cnbc.com/2015/01/08/fbidetails-north-korean-attack-on-sony.html# (consultada el 17 de diciembre de 2015); New York Times, FBI Says Little Doubt North Korea Hit Sony http://www.nytimes.com/2015/01/08/business/chief-says-fbi-has-no-doubt-thatnorth-korea-attacked-sony.html?_r=0 (consultada el 18 de diciembre de 2015); New York Times, U.S. said to find North Korea ordered attack on Sony http://www.nytimes.com/2014/12/18/world/asia/us-links-north-korea-to-sonyhacking.html?_r=0 (consultada el 18 de diciembre de 2015); BBC News, Sony hack: Obama vows response as FBI blames North Korea http://www.bbc.com/news/world-us-canada-30555997 (consultada el 18 de diciembre de 2015).. 39.

(46) Aplicación de los Artículos de Responsabilidad del Estado por Hechos Internacionalmente Ilícitos a las operaciones cibernéticas. Caso Stuxnet En virtud de que los elementos del Caso Stuxnet anteriormente expuestos. establecen. claramente. que. quienes. estuvieron. directamente involucrados en el ciberataque fueron agentes estatales de Estados Unidos e Israel, los hechos de este caso se subsumen sin mayores complicaciones al artículo 4 de los Artículos de Responsabilidad Estatal. Este artículo establece que toda conducta realizada por un órgano del Estado se considera atribuible a dicho Estado, sin importar el orden de gobierno al que pertenezca el órgano que realiza la conducta, las funciones que realice, o que sea una persona física, moral o cualquier otro tipo de entidad conforme al ordenamiento jurídico interno de cada Estado57. De esta manera, de la lectura de este artículo y de los hechos del caso Stuxnet, es posible afirmar que, por haber sido el Presidente de Estados Unidos quien ordenó la realización del ciberataque y las agencias de seguridad nacional de Israel y Estados Unidos quienes. 57. Artículo 4. Comportamiento de los Órganos del Estado. 1. Se considerará hecho del Estado según el derecho internacional el comportamiento de todo órgano del Estado, ya sea que ejerza funciones legislativas, ejecutivas, judiciales o de otra índole, cualquiera que sea su posición en la organización del Estado y tanto si pertenece al gobierno central como a una división territorial del Estado. 2. Se entenderá́ que órgano incluye toda persona o entidad que tenga esa condición según el derecho interno del Estado.”. 40.

(47) lo realizaron, dicha conducta resultaría per se atribuible a cualquiera de esos dos Estados. Sin embargo, con la finalidad de determinar si efectivamente. este. ciberataque. constituye. un. hecho. internacionalmente ilícito, más adelante evaluaremos cuáles son las normas primarias del sistema jurídico internacional que fueron violadas mediante este acto Estatal. Caso Sony Pictures El artículo 8 de los Artículos de Responsabilidad Estatal establece que el comportamiento de cualquier persona o grupo de personas será considerado un acto del Estado cuando esa persona o grupo de personas actuén bajo las instrucciones o la dirección o control de ese Estado.58 Los hechos del caso Sony Pictures muestran que no fue ningún órgano estatal perteneciente a Corea del Norte quien realizó el ciberataque, sino los Guardianes de la Paz, un grupo de personas que, independientemente de que pudieran ser calificados como terroristas o activistas hackers, no forman parte del gobierno de Corea del Norte. Por lo tanto, para que Corea del Norte resulte responsable, bajo el citado artículo 8, por el ciberataque dirigido a Sony Pictures,. 58. Artículo 8. Comportamiento bajo la dirección o control del Estado. Se considerará hecho del Estado según el derecho internacional el comportamiento de una persona o de un grupo de personas si esa persona o ese grupo de personas actúa de hecho por instrucciones o bajo la dirección o el control de ese Estado al observar ese comportamiento.. 41.

Figure

Actualización...

Referencias

Actualización...